ERserver DNS. iseries. Wersja 5 Wydanie 3

Podobne dokumenty
Sieciowy system nazw domen

Copyright International Business Machines Corporation Wszelkie prawa zastrzeżone.

Praca w sieci System nazw domen

Sieciowy system nazw domen

Instrukcja konfiguracji funkcji skanowania

Plan wykładu. Domain Name System. Definicja DNS. Po co nazwy? Przestrzeń nazw domen Strefy i ich obsługa Zapytania Właściwości.

Konfiguracja serwera DNS w systemie Windows Server 2008 /2008 R2

Praca w sieci z serwerem

Copyright International Business Machines Corporation Wszelkie prawa zastrzeżone.

onfiguracja serwera DNS w systemie Windows Server 2008 /2008 R2

Domain Name System. Kraków, 30 Marca 2012 r. mgr Piotr Rytko Wydział Matematyki i Informatyki UJ

Windows Serwer 2008 R2. Moduł 3. DNS v.2

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Plan wykładu. Domain Name System. Hierarchiczna budowa nazw. Definicja DNS. Obszary i ich obsługa Zapytania Właściwości.

Wykład 5: Najważniejsze usługi sieciowe: DNS, SSH, HTTP, . A. Kisiel,Protokoły DNS, SSH, HTTP,

Translacja adresów - NAT (Network Address Translation)

Konfiguracja DNS, część I (Instalacja)

MODEL WARSTWOWY PROTOKOŁY TCP/IP

4. Podstawowa konfiguracja

ODWZOROWYWANIE NAZW NA ADRESY:

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

SIECI KOMPUTEROWE Adresowanie IP

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

Instrukcje instalacji pakietu IBM SPSS Data Access Pack dla systemu Windows

INSTRUKCJA OBSŁUGI DLA SIECI

Instrukcja 6 - ARP i DNS - translacja adresów

Jarosław Kuchta Administrowanie Systemami Komputerowymi DNS, WINS, DHCP

Skrócony podręcznik dla partnerów

IBM SPSS Statistics Wersja 22. Linux - Instrukcja instalacji (licencja autoryzowanego użytkownika)

INSTRUKCJA OBSŁUGI USTAWIEŃ DYNAMICZNIE PRZEDZIELANYCH ADRESÓW IP W URZĄDZENIACH SYSTEMU IP-PRO ORAZ REJESTRATORACH MY-DVR

Wprowadzenie 5 Rozdział 1. Lokalna sieć komputerowa 7

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

Projektowanie bezpieczeństwa sieci i serwerów

Przewodnik Google Cloud Print

Jak zacząć korzystać w HostedExchange.pl ze swojej domeny

Fiery Remote Scan. Uruchamianie programu Fiery Remote Scan. Skrzynki pocztowe

Jarosław Kuchta. Instrukcja do laboratorium. Administrowanie Systemami Komputerowymi. Usługi DNS i DHCP

Krótka instrukcja instalacji

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Laboratorium - Obserwacja procesu tłumaczenia nazw DNS

Sieci komputerowe. Wstęp

Fiery Remote Scan. Łączenie z serwerami Fiery servers. Łączenie z serwerem Fiery server przy pierwszym użyciu

System DNS. Maciej Szmigiero

Konfiguracja konta pocztowego w Thunderbird

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

IBM SPSS Statistics Wersja 25. Windows Instrukcja instalacji (licencja autoryzowanego użytkownika) IBM

Model sieci OSI, protokoły sieciowe, adresy IP

GroupWise WebAccess Basic Interface

Internetowy serwis Era mail Aplikacja sieci Web

Przewodnik Google Cloud Print

Ogólnie biorąc, nie ma związku pomiędzy hierarchią nazw a hierarchią adresów IP.

Sieciowe systemy operacyjne

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

SIECI KOMPUTEROWE - BIOTECHNOLOGIA

IBM SPSS Modeler Social Network Analysis 16 podręcznik instalowania i konfigurowania

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:

Problemy techniczne SQL Server

DKonfigurowanie serwera DNS

Instalacja i podstawowa konfiguracja aplikacji ImageManager

Podręcznik użytkownika

Instytut Teleinformatyki

IBM SPSS Statistics Wersja 22. Windows - Instrukcja instalacji (licencja autoryzowanego użytkownika)

RODO a programy Matsol

Instrukcja dla instalatora systemu SMDP Enterprise/Professional

pasja-informatyki.pl

DESlock+ szybki start

pasja-informatyki.pl

System operacyjny Linux

Podręcznik instalacji Command WorkStation 5.6 z aplikacjami Fiery Extended Applications 4.2

Program GroupWise WebAccess interfejs podstawowy

R o g e r A c c e s s C o n t r o l S y s t e m 5

Telefon AT 530 szybki start.

Podręcznik AirPrint. Informacje o funkcji AirPrint. Procedura konfiguracji. Drukowanie. Appendix

Skrócona instrukcja konfiguracji skanowania iwysyłania wiadomości

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Sieci komputerowe i bazy danych

Współpraca z platformą Emp@tia. dokumentacja techniczna

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

NAT/NAPT/Multi-NAT. Przekierowywanie portów

Programowanie współbieżne i rozproszone

IBM SPSS Statistics Wersja 23. Mac OS Instrukcja instalacji (licencja autoryzowanego użytkownika)

Systemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A

Sieci komputerowe. Zajęcia 5 Domain Name System (DNS)

Zadanie1: Wykorzystując serwis internetowy Wikipedia odszukaj informacje na temat serwera DNS.

11. Autoryzacja użytkowników

Podstawy działania sieci komputerowych

Instrukcja instalacji usługi Sygnity Service

SKRó CONA INSTRUKCJA OBSŁUGI

Konfiguracja podglądu obrazu z kamery IP / rejestratora BCS przez sieć LAN.

Sieci komputerowe - administracja

Samsung Universal Print Driver Podręcznik użytkownika

Instrukcje dotyczące systemu Windows w przypadku drukarki podłączonej lokalnie

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

SERWER AKTUALIZACJI UpServ

Zanim zaczniesz. Warto ustawić kartę sieciową naszego serwera.

Transkrypt:

ERserver iseries DNS Wersja 5 Wydanie 3

ERserver iseries DNS Wersja 5 Wydanie 3

Uwaga Przed wykorzystaniem tych informacji i produktu, którego dotyczą, należy przeczytać informacje zawarte w sekcji Uwagi, na stronie 37. Wydanie piąte (sierpień 2005) Niniejsze wydanie dotyczy wersji 5, wydania 3, modyfikacji 0 produktu IBM Operating System/400 (numer produktu 5722-SS1) i wszystkich kolejnych wydań i modyfikacji, o ile w nowych wydaniach nie będzie stwierdzone inaczej. Wersja ta nie może być uruchamiana na wszystkich modelach komputerów z procesorem RISC, jak również na modelach CISC. Copyright International Business Machines Corporation 1998, 2005. Wszelkie prawa zastrzeżone.

Spis treści DNS...................................... 1 Drukowanie tego dokumentu............................. 2 Przykłady konfiguracji usług DNS........................... 2 Przykład: serwer DNS dla intranetu......................... 2 Przykład: serwer DNS z dostępem do Internetu..................... 4 Przykład: serwery DNS i DHCP na tym samym serwerze iseries (TM)............. 6 Przykład: podział systemu DNS za firewallem...................... 8 Koncepcje systemu DNS.............................. 10 Podstawy DNS................................ 11 Podstawy zapytań DNS............................. 12 Konfigurowanie własnej domeny DNS........................ 14 Aktualizacje dynamiczne............................. 14 Funkcje programu BIND 8............................ 15 Rekordy zasobów DNS............................. 16 Poczta i rekordy MX.............................. 19 Planowanie systemu DNS............................. 20 Określanie uprawnień DNS............................ 20 Określanie struktury domeny........................... 21 Planowanie ochrony.............................. 21 Wymagania systemu DNS............................. 22 Konfigurowanie DNS............................... 23 Dostęp do DNS przez iseries Navigator....................... 23 Konfigurowanie serwerów nazw.......................... 24 Tworzenie instancji serwera nazw........................ 24 Edycja właściwości serwera DNS......................... 25 Konfigurowanie stref na serwerze nazw...................... 25 Konfigurowanie odbierania dynamicznych aktualizacji przez serwer DNS........... 25 Importowanie plików DNS............................ 26 Dostęp do zewnętrznych danych DNS........................ 27 Administrowanie systemem DNS........................... 27 Sprawdzanie działania DNS za pomocą komendy NSLookup................ 28 Zarządzanie kluczami ochrony........................... 28 Statystyki serwera DNS............................. 29 Obsługa plików konfiguracyjnych DNS........................ 30 Zaawansowane funkcje DNS........................... 32 Rozwiązywanie problemów z systemem DNS...................... 33 Protokołowanie serwera DNS........................... 34 Ustawienia debugowania DNS........................... 35 Inne informacje dotyczące DNS........................... 35 Dodatek. Uwagi................................. 37 Znaki towarowe................................. 38 Warunki pobierania i drukowania publikacji....................... 38 Copyright IBM Corp. 1998, 2005 iii

iv iseries: DNS

DNS System nazw domen (Domain Name System - DNS) to rozproszony system baz danych służący do zarządzania nazwami hostów i przypisanymi im adresami protokołu Internet Protocol (IP). Dzięki zastsowaniu usług DNS użytkownicy mogą zamiast adresów IP (xxx.xxx.xxx.xxx) używać prostych nazw, jak np. www.jkltoys.com. Pojedynczy serwer DNS może być odpowiedzialny za znajomość nazw hostów i adresów IP dla niewielkiej części strefy, ale serwery DNS mogą ze sobą współpracować w celu odwzorowania wszystkich nazw domen na odpowiadające im adresy IP. To dzięki współpracującym ze sobą serwerom DNS komputery mogą się ze sobą komunikować poprzez Internet. W wersji 5 wydanie 1 (V5R1), usługi DNS są oparte na standardowej implementacji DNS, znanej pod nazwą BIND (Berkeley Internet Name Domain) w wersji 8. W poprzednich wersjach systemu OS/400(R) usługi DNS wykorzystywały program BIND w wersji 4.9.3. Aby używać serwera DNS opartego na programie BIND 8, na serwerze iseries(tm) musi być zainstalowana opcja OS/400 33, Portable Application Solutions Environment (PASE). Jeśli na serwerze nie jest zainstalowane środowisko PASE, można w dalszym ciągu używać poprzedniej wersji serwera DNS dla OS/400, wykorzystującego program BIND 4.9.3. Jednak migracja do programu BIND 8 udostępnia ulepszone funkcjonowanie oraz zapewnia lepszą ochronę serwera DNS. Uwaga: W tym dokumencie opisane są nowe funkcje związane z programem BIND 8. Jeśli na komputerze nie jest zainstalowane środowisko PASE i nie można na nim uruchomić serwera DNS wykorzystującego program BIND 8, należy zapoznać się z informacjami dotyczącymi serwera DNS wykorzystującego program BIND 4.9.3 zawartymi w dokumencie V4R5 DNS Information Center (około 357 kb). v W sekcji Drukowanie tego dokumentu na stronie 2 opisano, jak pobrać lub wydrukować dokument poświęcony usługom DNS. Podstawy DNS Wymienione niżej sekcje mają za zadanie pomóc w zrozumieniu podstaw usług DNS w systemie iseries. Sekcja Przykłady konfiguracji usług DNS na stronie 2 zawiera schematy i objaśnienia dotyczące sposobu działania systemu DNS. Sekcja Koncepcje systemu DNS na stronie 10 opisuje obiekty i procesy wykorzystywane w funkcjonowaniu systemu DNS. Sekcja Planowanie systemu DNS na stronie 20 zawiera wskazówki pomocne podczas tworzenia planu konfiguracji usług DNS. Korzystanie z systemu DNS Poniższe sekcje zostały napisane z myślą o asystowaniu użytkownikowi podczas konfigurowania usług DNS i zarządzania nimi w systemie iseries. W sekcjach tych opisano również, w jaki sposób wykorzystać zalety dostępnych obecnie nowych funkcji. Wymagania systemu DNS na stronie 22 Sekcja ta przedstawia wymagania programowe, które muszą być spełnione, aby uruchomić usługi DNS na serwerze iseries. Konfigurowanie DNS na stronie 23 W tej sekcji opisano sposób użycia programu iseries Navigator do skonfigurowania serwera nazw i do tłumaczenia zapytań skierowanych poza domenę. Administrowanie systemem DNS na stronie 27 Sekcja ta zawiera informacje dotyczące weryfikowania działania systemu DNS, monitorowania jego wydajności i obsługiwania danych i plików systemu DNS. Copyright IBM Corp. 1998, 2005 1

Rozwiązywanie problemów z systemem DNS na stronie 33 W tej sekcji przedstawiono ustawienia protokołowania i debugowania konfiguracji DNS, które mogą pomóc rozwiązać problemy z serwerem DNS. W przypadku pytań, na które nie można znaleźć odpowiedzi w Centrum informacyjnym, należy skorzystać z sekcji Inne informacje dotyczące DNS na stronie 35, która zawiera wykaz innych zasobów i materiałów informacyjnych. Drukowanie tego dokumentu Aby przejrzeć lub pobrać wersję PDF, wybierz DNS (około 357 kb). Aby zapisać plik PDF na stacji roboczej w celu jego dalszego wykorzystania: 1. Otwórz PDF w przeglądarce (kliknij powyższy odsyłacz). 2. W menu przeglądarki kliknij Plik. 3. Wybierz Zapisz jako... 4. Przejdź do katalogu, w którym chcesz zapisać plik PDF. 5. Kliknij Zapisz. Jeśli do przeglądania lub drukowania pobranych plików potrzebny jest program Adobe Acrobat Reader, jego kopię można pobrać z serwisu WWW firmy Adobe (www.adobe.com/products/acrobat/readstep.html). Przykłady konfiguracji usług DNS DNS to rozproszony system baz danych służący do zarządzania nazwami hostów i przypisanymi im adresami protokołu IP. Poniższe przykłady mają pomóc w zrozumieniu sposobu działania systemu DNS i w wykorzystaniu go we własnej sieci. W przykładach opisano różne konfiguracje i powody, dla których zostały one wybrane. Przykłady zawierają również odsyłacze do pokrewnych koncepcji, które mogą być pomocne w zrozumieniu przedstawionych ilustracji. Przykład: serwer DNS dla intranetu Przedstawia prostą podsieć z serwerem DNS do użytku wewnętrznego. Przykład: serwer DNS z dostępem do Internetu na stronie 4 Przedstawia prostą podsieć z serwerem DNS połączonym bezpośrednio z Internetem. Przykład: serwery DNS i DHCP na tym samym serwerze iseries (TM) na stronie 6 Opisuje konfigurację serwerów DNS i DHCP na tym samym serwerze. Konfigurację taką można wykorzystywać do dynamicznej aktualizacji danych strefy DNS, kiedy serwer DHCP przypisuje hostom adresy IP. W przypadku, kiedy serwer DHCP działa na innym serwerze iseries, dodatkowe wymagania konfiguracyjne dla serwera DHCP zawiera sekcja Przykład: serwery DNS i DHCP na różnych serwerach iseries. Przykład: podział systemu DNS za firewallem na stronie 8 Przedstawia serwer DNS działający za firewallem, który chroni dane wewnętrzne od strony Internetu i jednocześnie udostępnia użytkownikom wewnętrznym dane w Internecie. Przykład: serwer DNS dla intranetu Poniższa ilustracja przedstawia serwer DNS działający na serwerze iseries (TM) i obsługujący sieć wewnętrzną. Ta pojedyncza instancja serwera DNS została skonfigurowana do nasłuchiwania zapytań na wszystkich adresach IP interfejsu. Przedstawiony serwer jest podstawowym serwerm nazw dla strefy mycompany.com. 2 iseries: DNS

Rysunek 1. Serwer DNS dla intranetu. Każdy host w strefie ma adres IP i nazwę domenową. Administrator musi ręcznie zdefiniować hosty w danych strefy DNS, tworząc rekordy zasobów. Rekordy odwzorowania adresów (A) odwzorowują nazwę maszyny na przypisany jej adres IP. Dzięki tym rekordom inne hosty w sieci mogą kierować do serwera DNS zapytania w celu znalezienia adresu IP przypisanego do konkretnej nazwy hosta. Rekordy wskaźników wyszukiwania odwrotnego (PTR) odwzorowują adresy IP poszczególnych maszyn na przypisane im nazwy. Te rekordy z kolei pozwalają innym hostom w sieci kierować do serwera DNS zapytania w celu znalezienia nazwy odpowiadającej adresowi IP. Oprócz rekordów typu A i PTR, serwer DNS obsługuje wiele innych typów rekordów zasobów, które mogą być niezbędne w zależności od innych aplikacji TCP/IP uruchamianych w intranecie. Jeśli na przykład w sieci działa wewnętrzny system poczty elektronicznej, do bazy DNS należy wpisać rekordy wymienników poczty (MX), aby serwer SMTP mógł skierować do serwera DNS zapytanie o systemy, w których działają serwery poczty. DNS 3

Jeśli ta mała sieć byłaby częścią dużej sieci intranetowej, konieczne byłoby zdefiniowanie wewnętrznych serwerów głównych. Serwery zapasowe Serwery zapasowe pobierają dane strefy z serwera autorytatywnego. Serwery zapasowe uzyskują dane strefy poprzez przesyłanie strefowe z serwera autorytatywnego. Podczas uruchamiania, serwer zapasowy wysyła do podstawowego serwera nazw żądanie wszystkich danych dla określonej domeny. Ponadto zapasowy serwer nazw żąda zaktualizowanych danych z serwera podstawowego, gdy zostanie powiadomiony o zmianach przez podstawowy serwer nazw (jeśli używana jest funkcja NOTIFY) lub gdy na podstawie zapytań kierowanych do podstawowego serwera nazw wykryje zmianę danych. Na powyższym rysunku serwer myiseries jest częścią intranetu. Inny serwer iseries, myiseries2, został skonfigurowany jako zapasowy serwer DNS dla strefy mycompany.com. Serwer zapasowy pozwala zrównoważyć obciążenie serwerów, a także stanowi zabezpieczenie na wypadek awarii serwera podstawowego. Do dobrej praktyki administratora należy skonfigurowanie przynajmniej jednego serwera zapasowego dla każdej strefy. Więcej informacji dotyczących obiektów przedstawionych w tym przykładzie można znaleźć w następujących sekcjach: v Podstawy DNS na stronie 11, gdzie wyjaśniono, czym jest DNS i jak działa. W sekcji tej zdefiniowano również różne typy stref, które można określić dla serwera DNS. v Rekordy zasobów DNS na stronie 16, w której opisano, w jaki sposób rekordy zasobów są wykorzystywane przez system DNS. Przykład: serwer DNS z dostępem do Internetu Poniższa ilustracja przedstawia ten sam przykład sieci co w sekcji Przykład: serwer DNS dla intranetu na stronie 2, z tym, że tutaj firma ma połączenie z Internetem. W niniejszym przykładzie firma ma dostęp do Internetu, ale firewall został tak skonfigurowany, aby zablokować ruch przychodzący z Internetu do sieci. Rysunek 1. Serwer DNS z dostępem do Internetu. 4 iseries: DNS

W celu przetłumaczenia adresów internetowych, należy wykonać przynajmniej jedną z poniższych czynności: Zdefiniować Internetowe serwery główne Internetowe serwery główne można załadować automatycznie, ale może być konieczna aktualizacja listy. Serwery te są pomocne podczas tłumaczenia adresów spoza lokalnej strefy. Instrukcje dotyczące uzyskania danych o Internetowych serwerach głównych zawiera sekcja Dostęp do zewnętrznych danych DNS na stronie 27. Włączyć przekazywanie Można tak skonfigurować funkcję przekazywania, aby przekazywała zapytania o strefy spoza mycompany.com do zewnętrznych serwerów DNS, na przykład do serwerów administrowanych przez DNS 5

dostawcę usług internetowych (ISP). Aby włączyć wyszukiwanie na serwerach przekazujących i głównych, należy opcji forward nadać wartość first. Spowoduje to, że serwer będzie najpierw kierował zapytanie do serwera przekazującego, a dopiero gdy ten nie będzie w stanie przetłumaczyć adresu, zapytanie zostanie skierowane do serwera głównego. Ponadto, mogą być wymagane następujące zmiany konfiguracji: Przypisanie niezastrzeżonych adresów IP W powyższym przykładzie użyto adresów 10.x.x.x. Jednak są to adresy zastrzeżone i nie mogą być używane poza intranetem. Użyte adresy mają charakter przykładowy i w konkretnej konfiguracji mogą być inne, na przykład określone przez dostawcę usług internetowych. Zarejestrowanie nazwy domeny Aby być widocznym w Internecie, należy Konfigurowanie własnej domeny DNS na stronie 14, o ile nie zostało to już zrobione. Uruchomienie firewalla Nie zaleca się bezpośredniego połączenia serwera DNS z Internetem. Należy skonfigurować firewall lub podjąć inne środki w celu zabezpieczenia serwera iseries (TM). Więcej informacji na ten temat można znaleźć w sekcji IBM (R) Secureway: iseries i Internet w Centrum informacyjnym. Przykład: serwery DNS i DHCP na tym samym serwerze iseries (TM) Poniższy rysunek przedstawia małą podsieć z jednym serwerem iseries, działającym jednocześnie jako serwer DHCP i serwer DNS dla czterech klientów. Przyjmijmy, że w tym środowisku roboczym na klientach obsługujących magazyn, wprowadzanie danych i zarząd tworzone są dokumenty z grafiką pochodzącą z serwera plików graficznych. Maszyny te łączą się z serwerem plików graficznych, odwzorowując sieciowy napęd dysków na nazwę hosta. Rysunek 1. Serwery DNS i DHCP na tym samym serwerze iseries. 6 iseries: DNS

Poprzednie wersje serwerów DHCP i DNS były od siebie niezależne. Jeśli serwer DHCP przypisał klientowi nowy adres IP, rekordy bazy DNS musiały być aktualizowane ręcznie przez administratora. W niniejszym przykładzie zmiana adresu IP serwera plików graficznych przez serwer DHCP spowodowałaby, że rekordy DNS zawierałyby nieaktualny adres IP serwera plików, przez co klienci tego serwera nie mogliby przypisać dysku sieciowego do nazwy hosta. Używając dostępnego w wersji V5R1 serwera DNS opartego na programie BIND 8, można skonfigurować strefę DNS tak, aby akceptowała Aktualizacje dynamiczne na stronie 14 rekordów DNS związane ze sporadycznymi zmianami adresów przez serwer DHCP. Kiedy na przykład serwer plików graficznych odnawia dzierżawę adresu IP z serwera DHCP i uzyskuje nowy adres IP: 10.1.1.250, powiązane rekordy DNS zostają zaktualizowane dynamicznie. Pozwala to innym klientom bez przeszkód kierować do serwera DNS zapytania dotyczące serwera plików graficznych. Aby skonfigurować strefę DNS tak, aby akceptowała dynamiczne aktualizacje, należy wykonać następujące zadania: Zidentyfikować strefę dynamiczną Nie można ręcznie aktualizować strefy dynamicznej podczas pracy serwera. Mogłoby to spowodować kolizję z przychodzącymi aktualizacjami dynamicznymi. Aktualizacji ręcznych można dokonywać tylko po zatrzymaniu serwera. Jednak gdy serwer zostaje zatrzymany, traci się wszelkie aktualizacje dynamiczne wysyłane przez serwer DHCP. Z tego powodu może być konieczne zdefiniowanie odrębnej strefy dynamicznej, w której konieczność dokonywania aktualizacji ręcznych będzie DNS 7

minimalna. Więcej informacji dotyczących konfigurowania funkcji dynamicznej aktualizacji stref zawiera sekcja Określanie struktury domeny na stronie 21. Skonfigurować opcję zezwolenia na aktualizację Każda strefa ze skonfigurowaną opcją zezwolenia na aktualizację jest uważana za strefę dynamiczną. Opcja zezwolenia na aktualizację jest ustawiana dla każdej strefy oddzielnie. Aby zaakceptować dynamiczne aktualizacje strefy, opcja ta musi być w tej strefie włączona. W niniejszym przykładzie strefa mycompany.com miałaby włączoną opcję zezwolenia na aktualizację, ale inne strefy zdefiniowane na serwerze mogłyby być statyczne lub dynamiczne. Skonfigurować wysyłanie dynamicznych aktualizacji przez serwer DHCP Należy autoryzować serwer DHCP do aktualizacji rekordów DNS zgodnie z rozdzielanymi adresami IP. Więcej informacji na tem temat zawiera sekcja Konfigurowanie serwera DHCP pod kątem wysyłania dynamicznych aktualizacji DNS. Skonfigurować preferencje dotyczące aktualizacji dla serwera zapasowego Aby zapewnić aktualność danych przechowywanych na serwerze zapasowym, można na serwerze DNS skonfigurować funkcję NOTIFY, która wysyła do serwerów zapasowych strefy moja_firma.com komunikaty informujące o zmianie danych strefy. Należy również skonfigurować i włączyć przyrostowe przesyłanie strefowe (IXFR), co pozwoli serwerom zapasowym śledzić aktualizację i pobierać tylko zmienione dane strefy. W przypadku, kiedy serwery DNS i DHCP działają na różnych serwerach iseries, istnieją jeszcze pewne dodatkowe wymagania dotyczące konfiguracji serwera DHCP. Więcej informacji na ten temat zawiera sekcja Przykład: Serwery DNS i DHCP na różnych serwerach iseries. Przykład: podział systemu DNS za firewallem Poniższa ilustracja przedstawia prostą podsieć zabezpieczoną firewallem. Dostępny w wersji V5R1 serwer DNS, wykorzystujący program BIND 8 pozwala skonfigurować wiele serwerów DNS na jednym serwerze iseries (TM). Załóżmy, że firma ma sieć wewnętrzną z zastrzeżonymi adresami IP i część zewnętrzną sieci, która jest dostępna publicznie. Firma chce, aby wewnętrzni klienci mogli tłumaczyć nazwy hostów zewnętrznych i wymieniać pocztę z użytkownikami z zewnątrz. Firma chce również, aby wewnętrzny program tłumaczący miał dostęp do pewnych stref wewnętrznych, które w ogóle nie są dostępne spoza sieci wewnętrznej. Dodatkowo firma nie chce, aby do sieci wewnętrznej miały dostęp zewnętrzne programy tłumaczące. Aby osiągnąć postawiony cel, firma konfiguruje dwie instancje serwera DNS na tej samej maszynie iseries, jedną dla intranetu i drugą dla użytkowników w domenie publicznej. Rozwiązanie takie nazywa się podziałem DNS. Rysunek 1. Podział systemu DNS za firewallem. 8 iseries: DNS

Strefa mycompany.com została skonfigurowana jako strefa podstawowa serwera zewnętrznego DNSB. Dane tej strefy obejmują wyłącznie rekordy przewidziane jako część domeny publicznej. Dla serwera wewnętrznego DNSA strefa mycompany.com jest również strefą podstawową, ale dane strefy zdefiniowane na serwerze DNSA zawierają rekordy zasobów intranetu. Opcja przekazywania została określona jako 10.1.2.5. Wymusza to na serwerze DNSA przekazywanie zapytań, których nie umie on przetłumaczyć, do serwera DNSB. Jeśli w grę wchodzi integralność firewalla lub innych środków bezpieczeństwa, można skorzystać z opcji nasłuchiwania, która pomaga zabezpieczyć dane wewnętrzne. W tym celu należy skonfigurować serwer wewnętrzny, aby obsługiwał wyłącznie te zapytania dotyczące wewnętrznej strefy mycompany.com, które pochodzą od hostów wewnętrznych. Aby to wszystko działało poprawnie, należy tak skonfigurować klientów DNS 9

wewnętrznych, aby kierowali zapytania tylko do serwera DNSA. W celu zdefiniowania podziału DNS, należy wziąć pod uwagę następujące ustawienia konfiguracyjne: Nasłuchiwanie W poprzednich przykładach był tylko jeden serwer DNS na maszynie iseries. Nasłuchiwał on na wszystkich adresach IP interfejsu. W przypadku wielu serwerów DNS na jednym serwerze iseries, trzeba zdefiniować adresy IP interfejsów, na których każdy z tych serwerów będzie nasłuchiwał. Dwie instancje serwera DNS nie mogą nasłuchiwać na tym samym adresie. W niniejszym przykładzie, wszystkie zapytania przychodzące zza firewalla trafią pod adres 10.1.2.5. Zapytania te powinny być wysłane do serwera zewnętrznego. Dlatego skonfigurowano serwer DNSB, aby nasłuchiwał pod adresem 10.1.2.5. Serwer wewnętrzny, DNSA, został skonfigurowany tak, aby akceptował zapytania z dowolnego adresu IP interfejsu 10.1.x.x z wyjątkiem 10.1.2.5. Aby efektywnie wykluczyć ten adres, musi on wystąpić na liście AML (Address Match List) przed przedrostkiem dla adresów dozwolonych. Kolejność na liście AML (Address Match List) Zostanie użyty pierwszy element z listy AML, który pasuje do danego adresu. Aby na przykład dopuścić wszystkie adresy sieci 10.1.x.x, oprócz 10.1.2.5, elementy AML muszą być w następującej kolejności: (!10.1.2.5; 10.1/16). W tym przypadku adres 10.1.2.5 zostanie porównany z pierwszym elementem i natychmiast zablokowany. Gdyby kolejność adresów była odwrotna: (10.1/16;!10.1.2.5), adres IP 10.1.2.5 zostałby przepuszczony, ponieważ serwer porównałby go z pierwszym elementem, z którym adres ten jest zgodny, i nie sprawdzałby pozostałych reguł. Koncepcje systemu DNS Serwer DNS w wersji V5R1 oferuje nowe funkcje związane z programem BIND 8. Poniżej zamieszczono odsyłacze do sekcji, w których opisano, w jaki sposób działa system DNS i jak korzystać z jego nowych funkcji: Podstawowe funkcje DNS: Podstawy DNS na stronie 11 Przegląd informacji o tym, czym jest i jak działa system DNS, a także opis typów stref, jakie można zdefiniować. Podstawy zapytań DNS na stronie 12 Objaśnienie procesu tłumaczenia zapytania przez serwer DNS w imieniu klienta. Konfigurowanie własnej domeny DNS na stronie 14 Ogólne informacje o rejestracji domeny z odsyłaczami do innych źródeł informacji o konfigurowaniu własnej domeny. Nowe funkcje DNS: Aktualizacje dynamiczne na stronie 14 Serwer DNS w wersji V5R1, wykorzystujący program BIND 8, obsługuje aktualizacje dynamiczne. Dzięki temu zewnętrzne źródła, na przykład serwer DHCP, mogą przesyłać aktualizacje do serwera DNS. Funkcje programu BIND 8 na stronie 15 Oprócz dynamicznych aktualizacji program BIND 8 oferuje kilka nowych funkcji, które poprawiają wydajność serwera DNS. Informacje o rekordach zasobów: 10 iseries: DNS

Rekordy zasobów DNS na stronie 16 Rekordy zasobów są używane do przechowywania danych o nazwach domenowych i adresach IP. W tej sekcji znajduje się lista rekordów zasobów obsługiwanych w wersji V5R1 z wyszukiwarką. Poczta i rekordy MX na stronie 19 Dzięki tym rekordom system DNS obsługuje zaawansowane rozsyłanie poczty elektronicznej. Istnieje wiele zewnętrznych źródeł bardziej szczegółowych informacji o systemie DNS. Niektóre z nich można znaleźć w sekcji Inne informacje dotyczące DNS na stronie 35. Podstawy DNS System nazw domen (Domain Name System - DNS) to rozproszony system baz danych służący do zarządzania nazwami hostów i przypisanymi im adresami protokołu Internet Protocol (IP). Dzięki zastsowaniu usług DNS użytkownicy mogą zamiast adresów IP (xxx.xxx.xxx.xxx) używać prostych nazw, jak np. www.jkltoys.com. Pojedynczy serwer DNS może być odpowiedzialny za znajomość nazw hostów i adresów IP dla niewielkiej części strefy, ale serwery DNS mogą ze sobą współpracować w celu odwzorowania wszystkich nazw domen na odpowiadające im adresy IP. To dzięki współpracującym ze sobą serwerom DNS komputery mogą się ze sobą komunikować poprzez Internet. Dane DNS są podzielone na hierarchię domen. Poszczególne serwery znają jedynie niewielką część tych danych, na przykład pojedynczą poddomenę. Części domeny podlegające bezpośrednio danemu serwerowi są nazywane strefami. Serwer DNS dysponujący pełną informacją o hostach i danych strefy jest uważany za autorytatywny dla tej strefy. Serwer autorytatywny może obsługiwać zapytania dotyczące hostów w jego strefie, korzystając z rekordów zasobów. Proces wykonywania zapytania zależy od wielu czynników. Sekcja Podstawy zapytań DNS na stronie 12 zawiera objaśnienia ścieżek, jakich może użyć klient do przetłumaczenia zapytania. Podstawy stref Dane DNS są podzielone na łatwe do zarządzania zestawy zwane strefami. Strefy zawierają informacje o nazwie i adresie IP dla przynajmniej jednej części domeny DNS. Serwer, który zawiera wszystkie informacje dotyczące domeny, nazywa się serwerem autorytatywnym dla tej domeny. Niekiedy wygodnie jest delegować kompetencje obsługiwania zapytań DNS dotyczących określonej poddomeny do innego serwera DNS. W takim przypadku serwer DNS dla domeny może zostać skonfigurowany tak, aby kierował zapytania dotyczące tej poddomeny do odpowiedniego serwera. Na wypadek awarii, dane strefy są często przechowywane nie tylko na serwerze autorytatywnym, ale także na innych serwerach DNS. Te inne serwery pobierają dane z serwera autorytatywnego i są nazywane serwerami zapasowymi. Skonfigurowanie serwerów zapasowych pozwala zrównoważyć ich obciążenie, a także stanowi zabezpieczenie na wypadek awarii serwera podstawowego. Serwery zapasowe uzyskują dane strefy poprzez przesyłanie strefowe z serwera autorytatywnego. Po zainicjowaniu serwer zapasowy pobiera kompletną kopię danych strefy z serwera głównego. Ponowne pobieranie danych strefy przez serwer zapasowy z serwera podstawowego lub z innych serwerów zapasowych dla tej samej domeny odbywa się również w przypadku zmiany danych strefy. Typy stref DNS Za pomocą serwera DNS iseries zarządzaniu danymi DNS: (TM) można zdefiniować kilka typów stref, które będą pomocne przy Strefa podstawowa Zawiera dane strefy pobrane bezpośrednio z pliku na hoście. Strefa podstawowa może zawierać podstrefę lub strefę potomną. Może ona również zawierać rekordy zasobów, na przykład nazwę hosta, alias (CNAME), adres (A) lub rekordy wskaźników przypisania odwrotnego (PTR). Uwaga: W innych dokumentach dotyczących programu BIND strefy podstawowe są często nazywane strefami nadrzędnymi. DNS 11

Podstrefa Podstrefa stanowi strefę wewnątrz strefy podstawowej. Podstrefy umożliwiają organizację danych strefy w łatwe do zarządzania zestawy. Strefa potomna Strefa potomna określa podstrefę i deleguje odpowiedzialność za dane podstrefy do przynajmniej jednego innego serwera nazw. Alias (CNAME) Alias określa alternatywną nazwę domeny podstawowej. Host Obiekt hosta przypisuje rekordy A i PTR do hosta. Z hostem mogą być powiązane dodatkowe rekordy zasobów. Strefa zapasowa Zawiera dane pobrane z podstawowego serwera strefy lub z innego serwera zapasowego. Serwer zapasowy danej strefy utrzymuje kompletną kopię danych tej strefy. Uwaga: W innych dokumentach dotyczących programu BIND strefy zapasowe są czasami nazywane strefami podrzędnymi. Strefa pośrednicząca Strefa pośrednicząca jest podobna do strefy zapasowej, ale przekazuje ona tylko rekordy serwera nazw (NS) dla danej strefy. Strefa przekazująca Strefa przekazująca kieruje wszystkie zapytania dotyczące konkretnej strefy do innych serwerów. Podstawy zapytań DNS Klienci korzystają z serwerów DNS w celu znalezienia poszukiwanych informacji. Żądanie może pochodzić bezpośrednio z klienta lub z aplikacji działającej na kliencie. Klient wysyła do serwera DNS komunikat z zapytaniem zawierającym: pełną nazwę domeny(fqdn), typ zapytania, na przykład konkretny rekord zasobów wymagany przez klienta, oraz klasę nazwy domenowej, która zwykle jest klasą internetową (IN). Poniższa ilustracja przedstawia przykładową sieć z sekcji Przykład: serwer DNS z dostępem do Internetu na stronie 4. Rysunek 1. Serwer DNS z dostępem do Internetu. 12 iseries: DNS

Załóżmy, że host wprowadzanie_danych kieruje do serwera DNS zapytanie o grafika.moja_firma.com. Na podstawie własnych danych strefy serwer DNS odpowie, podając adres IP 10.1.1.253. Załóżmy z kolei, że host wprowadzanie_danych żąda adresu IP hosta o nazwie www.jkl.com.. Tego hosta nie ma w danych strefy serwera DNS. Wobec tego do wyboru są dwie metody postępowania: rekurencja lub iteracja. Jeśli serwer DNS jest ustawiony do korzystania z rekurencji, skontaktuje się on z innymi serwerami DNS w imieniu żądającego klienta, aby przetłumaczyć nazwę, a następnie odeśle odpowiedź do klienta. Serwer DNS wysyłający zapytanie do innego serwera DNS zapisuje odpowiedź, aby jej użyć, kiedy następnym razem otrzyma takie samo zapytanie. Klient może również we własnym imieniu próbować kontaktować się z innymi serwerami DNS, aby przetłumaczyć nazwę. W tym procesie, zwanym iteracją, klient używa odrębnych i dodatkowych zapytań, tworzonych na podstawie odpowiedzi z serwerów. DNS 13

Konfigurowanie własnej domeny DNS DNS umożliwia dostęp do nazw i adresów w intranecie, czyli w sieci wewnętrznej. Daje on również dostęp do tych informacji całej reszcie świata poprzez Internet. Aby skonfigurować domeny w Internecie, należy najpierw zarejestrować nazwę domeny. W przypadku konfigurowania intranetu, rejestracja nazwy domeny używanej na potrzeby wewnętrzne nie jest wymagana. Decyzja w sprawie rejestrowania nazwy intranetowej zależy od tego, czy chce się zarezerwować tę nazwę, tak aby nikt inny nie mógł jej użyć w Internecie, niezależnie od wewnętrznego jej wykorzystania. Zarejestrowanie nazwy, która ma być używana wewnętrznie, zapewnia, że z jej wykorzystaniem na zewnątrz nie będzie żadnych problemów. Domenę można zarejestrować poprzez bezpośredni kontakt z autoryzowanym rejestratorem nazw domen lub niekiedy za pośrednictwem dostawcy usług internetowych (ISP). Niektórzy dostawcy ISP oferują złożenie wniosku o rejestrację domeny w imieniu swoich klientów. Katalog wszystkich podmiotów rejestrujących nazwy domen, autoryzowanych przez Internet Corporation for Assigned Names and Numbers (ICANN) prowadzi centrum Internet Network Information Center (InterNIC). Istnieje wiele innych źródeł informacji o rejestracji i prowadzeniu własnej domeny DNS. Dodatkową pomoc można znaleźć w sekcji Inne informacje dotyczące DNS na stronie 35. Aktualizacje dynamiczne Protokół Dynamic Host Configuration Protocol (DHCP) jest standardem TCP/IP, który korzysta z serwera centralnego do zarządzania adresami IP i innymi szczegółami konfiguracyjnymi całej sieci. W odpowiedzi na żądania klientów serwer DHCP dynamicznie przypisuje im pewne właściwości. Protokół DHCP umożliwia centralną definicję parametrów konfiguracyjnych hostów w sieci i automatyczne konfigurowanie hostów. Jest on często używany do tymczasowego przypisywania adresów IP klientom sieci, w których jest więcej klientów niż dostępnych adresów IP. Wcześniej, wszystkie dane DNS były przechowywane w statycznych bazach danych. Wszystkie Rekordy zasobów DNS na stronie 16 DNS musiały być utworzone i obsługiwane przez administratora. Obecnie serwery DNS wykorzystujące program BIND 8 można tak skonfigurować, aby akceptowały żądania dynamicznej aktualizacji danych strefy pochodzące z innych źródeł. Można skonfigurować serwer DHCP, aby wysyłał żądania aktualizacji do serwera DNS za każdym razem, gdy przypisze hostowi nowy adres. Ten zautomatyzowany proces redukuje administracyjną obsługę serwera DNS w szybko rozrastających się lub zmieniających sieciach TCP/IP oraz w sieciach, w których hosty często zmieniają miejsce. Kiedy klient serwera DHCP uzyskuje od niego adres IP, dane te są natychmiast wysyłane do serwera DNS. Metoda ta pozwala serwerowi DNS poprawnie tłumaczyć nazwy hostów, nawet wtedy, gdy ich adresy IP się zmienią. Serwer DHCP może w imieniu klienta aktualizować rekordy odwzorowania (A) i rekordy wyszukiwania odwrotnego. Rekordy typu A odwzorowują nazwę hosta na jego adres IP. Rekordy typu PTR odwzorowują adres hosta na jego nazwę. Kiedy zmienia się adres klienta, serwer DHCP może automatycznie wysłać aktualizację do serwera DNS, tak aby inne hosty w sieci mogły poprzez zapytanie DNS znaleźć tego klienta pod nowym adresem IP. Dla każdego rekordu zaktualizowanego dynamicznie zapisywany jest również powiązany rekord tekstowy (TXT), który wskazuje, że rekord został zaktualizowany przez serwer DHCP. Uwaga: Jeśli skonfiguruje się serwer DHCP, tak aby aktualizował tylko rekordy PTR, należy również skonfigurować serwer DNS, aby zezwolił klientom na aktualizację swoich rekordów A. Jednak nie wszyscy klienci serwera DHCP obsługują żądania aktualizacji własnych rekordów A. Przed użyciem tej metody, należy więc zapoznać się z dokumentacją używanej platformy klienta. Strefy dynamiczne zabezpiecza się tworząc listę autoryzowanych źródeł, które mogą wysyłać aktualizacje. Źródła takie można zdefiniować posługując się indywidualnymi adresami IP, całą podsiecią, pakietami podpisanymi za pomocą współużytkowanego klucza tajnego (tak zwanymi podpisami transakcyjnymi - 14 iseries: DNS

TSIG) lub dowolną kombinacją tych metod. Przed aktualizacją rekordów zasobów serwer DNS sprawdza, czy przychodzące pakiety żądań pochodzą z autoryzowanych źródeł. Dynamiczne aktualizacje mogą się odbywać pomiędzy serwerami DNS i DHCP działającymi na tym samym serwerze iseries (TM), na różnych serwerach iseries lub na serwerze iseries i na innych maszynach obsługujących dynamiczne aktualizacje. Więcej informacji dotyczących konfigurowania dynamicznych aktualizacji na serwerze iseries można znaleźć w następujących sekcjach: v Konfigurowanie odbierania dynamicznych aktualizacji przez serwer DNS na stronie 25 v Konfigurowanie wysyłania dynamicznych aktualizacji przez serwer DHCP v Na serwerach wysyłających dynamiczne aktualizacje do serwera DNS wymagana jest funkcja API dynamicznej aktualizacji QTOBUPT. Jest ona instalowana automatycznie wraz z opcją 31 systemu OS/400 (R). Funkcje programu BIND 8 W wersji V5R1 serwer DNS został przeprojektowany i używa programu BIND 8. Jeśli w systemie nie został zainstalowany program PASE, można w dalszym ciągu używać poprzedniej wersji serwera DNS dla OS/400 (R) wykorzystującego program BIND 4.9.3. W sekcji Wymagania systemu DNS na stronie 22 opisano wymagania dotyczące uruchamiania DNS na serwerze iseries serwer DNS pozwala wykorzystać zalety następujących funkcji: (TM) z użyciem programu BIND 8. Nowy Wiele serwerów DNS działających na pojedynczym serwerze iseries W poprzednich wersjach można było skonfigurować tylko jeden serwer DNS. Obecnie można skonfigurować wiele serwerów DNS lub instancji. Funkcja ta umożliwia logiczne rozdzielenie danych między serwerami. Tworząc wiele instancji, należy w sposób jawny zdefiniować dla każdej z nich adresy IP interfejsu nasłuchującego. Dwie instancje serwera DNS nie mogą nasłuchiwać na tym samym interfejsie. Przykładem praktycznego zastosowania wielu serwerów jest podział systemu DNS, w którym jeden serwer jest autorytatywny dla sieci wewnętrznej, a drugi obsługuje zapytania zewnętrzne. Więcej informacji o podziale systemu DNS zawiera przykład znajdujący się w sekcji Przykład: podział systemu DNS za firewallem na stronie 8. Przekazywanie warunkowe Funkcja przekazywania warunkowego pozwala skonfigurować serwer DNS z uwzględnieniem preferencji dotyczących przekazywania zapytań. Można skonfigurować serwer tak, aby przekazywał wszystkie zapytania, na które nie umie udzielić odpowiedzi. Możliwe jest skonfigurowanie przekazywania na poziomie globalnym, ale z wyjątkami dla domen, dla których tłumaczenie nazw ma się odbywać w toku normalnej procedury iteracyjnej. Alternatywnie można skonfigurować normalną procedurę iteracyjną na poziomie globalnym, a następnie wymusić przekazywanie dla niektórych domen. Bezpieczne aktualizacje dynamiczne Serwer DHCP lub inne autoryzowane źródło może wysłać dynamiczne aktualizacje rekordów zasobów, korzystając z podpisów transakcyjnych (TSIG) i/lub uwierzytelniania adresu IP. Eliminuje to konieczność ręcznej aktualizacji danych strefy, zapewniając jednocześnie, że do aktualizacji używane są wyłącznie dane z autoryzowanych źródeł. Więcej informacji o aktualizacjach dynamicznych zawiera sekcja Aktualizacje dynamiczne na stronie 14. Informacje o autoryzacji aktualizacji ze źródeł zewnętrznych można znaleźć w sekcji Planowanie ochrony na stronie 21. Opcja NOTIFY Kiedy opcja NOTIFY jest włączona, podczas każdej aktualizacji danych strefy na serwerze podstawowym aktywowana jest funkcja DNS NOTIFY. Dzięki niej serwer podstawowy wysyła do wszystkich znanych serwerów zapasowych komunikat z informacją o zmianie danych. W odpowiedzi na ten komunikat serwery zapasowe mogą wystąpić z żądaniem przesłania strefowego zaktualizowanych danych strefy. Dzięki temu zapasowe dane strefy są aktualizowane na bieżąco, co zwiększa przydatność serwerów zapasowych. DNS 15

Przesyłanie strefowe (IXFR i AXFR) W przeszłości, kiedy serwery potrzebowały odświeżyć dane strefy, musiały pobierać cały zestaw tych danych w procesie całkowitego przesyłania strefowego (AXFR). Program BIND 8 obsługuje nową metodę przesyłania strefowego: przyrostowe przesyłanie strefowe (IXFR). Przesyłanie IXFR umożliwia serwerom pobranie tylko zmienionych danych, zamiast wszystkich danych strefy. Kiedy metoda ta jest włączona na serwerze podstawowym, zmienionym danym zostają przypisane flagi, wskazujące wystąpienie zmiany. Kiedy serwer zapasowy zażąda aktualizacji danych strefy w trybie IXFR, serwer podstawowy prześle tylko nowe dane. Przesyłanie IXFR jest szczególnie użyteczne w strefach aktualizowanych dynamicznie i redukuje ruch w sieci, gdyż wysyłane są mniejsze ilości danych. Uwaga: Aby korzystać z tej funkcji, przesyłanie IXFR musi być włączone na serwerze podstawowym i zapasowym. Rekordy zasobów DNS Baza danych strefy DNS składa się z kolekcji rekordów zasobów. Każdy rekord zasobu zawiera informację o konkretnym obiekcie. Na przykład rekordy odwzorowania adresów (A) odwzorowują nazwę hosta na adres IP, a rekordy wyszukiwania odwrotnego (PTR) odwzorowują adres IP na nazwę hosta. Serwer używa tych rekordów do odpowiadania na zapytania dotyczące hostów w jego strefie. Aby uzyskać więcej informacji, należy skorzystać z tabeli zawierającej rekordy zasobów DNS. Rekord zasobu Nazwa skrócona Opis Rekord odwzorowania adresów (A) A Rekord A określa adres IP danego hosta. Rekordy A używane są podczas rozwiązywania zapytań o adres IP domeny o podanej nazwie. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1035. Rekord bazy danych systemu plików Andrew (AFSDB) AFSDB Rekord AFSDB określa adres AFS lub DCE obiektu. Rekordy AFSDB, podobnie jak rekordy A, są wykorzystywane podczas odwzorowywania nazwy domeny na jej adres AFSDB oraz podczas odwzorowywania nazwy domeny komórki na uwierzytelnione serwery nazw tej komórki. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1183. Rekord nazwy kanonicznej (CNAME) CNAME Rekord CNAME określa bieżącą nazwę domeny obiektu. Jeśli serwer DNS wysyła zapytanie o nazwę-alias i znajduje rekord CNAME wskazujący na nazwę kanoniczną, wysyła zapytanie o kanoniczną nazwę domeny. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1035. Rekord informacji o hoście (HINFO) HINFO Rekord HINFO określa ogólne informacje o hoście. Nazwy standardowych procesów i nazwy systemów operacyjnych są zdefiniowane w dokumencie Assigned Numbers RFC 1700. Jednak nie jest wymagane używanie numerów standardowych. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1035. 16 iseries: DNS

Rekord zasobu Nazwa skrócona Opis Rekord ISDN ISDN Rekord ISDN określa adres obiektu. Odwzorowuje nazwę hosta na adres ISDN. Rekordy te są używane tylko w sieciach ISDN. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1183. Rekord odwzorowania adresów IP wersja 6 (AAAA) AAAA Rekord AAAA określa 128-bitowy adres hosta. Rekordy AAAA służą, podobnie jak rekordy A, do odwzorowywania nazwy hosta na jego adres IP. Należy ich używać do obsługi adresów IP w wersji 6, które nie są zgodne ze standardowym formatem rekordu A. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1886. Rekord położenia (LOC) LOC Rekord LOC określa fizyczne położenie elementów sieci. Rekordy te mogą być wykorzystywane przez aplikacje do szacowania wydajności sieci oraz do odwzorowywania sieci fizycznej. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1876. Rekord wymiany poczty (MX) MX Rekord MX definiuje host wymiany poczty dla poczty wysyłanej do tej domeny. Rekordy tego typu są wykorzystywane przez protokół SMTP (Simple Mail Transfer Protocol) podczas znajdowania hostów obsługujących przesyłanie poczty w tej domenie oraz podczas ustalania preferowanych wartości dla hostów wymiany poczty. Dla każdego hosta wymiany poczty muszą być zdefiniowane odpowiadające mu rekordy odwzorowania adresów (A) w poprawnej strefie. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1035. Rekord grupy poczty (MG) MG Rekord MG określa nazwę domeny grupy poczty. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1035. Rekord skrzynki pocztowej (MB) MB Rekord MB określa nazwę domeny hosta, który zawiera skrzynkę pocztową dla tego obiektu. Poczta wysłana do tej domeny zostanie skierowana do hosta podanego w rekordzie MB. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1035. DNS 17

Rekord zasobu Nazwa skrócona Opis Rekord informacji o skrzynce pocztowej (MINFO) Rekord zmiany nazwy skrzynki pocztowej (MR) MINFO Rekord MINFO określa skrzynkę pocztową, do której mają być wysyłane komunikaty i komunikaty o błędach dotyczące danego obiektu. Rekord MINFO zwykle jest używany dla list skrzynek pocztowych, a nie dla pojedynczych skrzynek. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1035. MR Rekord MR określa nową nazwę domeny dla skrzynki pocztowej. Rekordu tego typu można używać jako pozycji przekazywania dla użytkownika, który został przeniesiony do innej skrzynki pocztowej. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1035. Rekord serwera nazw (NS) NS Rekord NS określa autorytatywny serwer nazw dla danego hosta. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1035. Rekord NSAP (Network Service Access Protocol) NSAP Rekord NSAP określa adres zasobu NSAP. Rekordy NASP są wykorzystywane do odwzorowywania nazw domen na adresy NSAP. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1706. Rekord klucza publicznego (KEY) KEY Rekord KEY określa klucz publiczny skojarzony z nazwą serwera DNS. Klucz może być przeznaczony dla strefy, użytkownika lub dla hosta. Ten typ rekordu jest zdefiniowany w dokumencie RFC 2065. Rekord osoby odpowiedzialnej (RP) RP Rekord RP zawiera adres poczty elektronicznej i opis osoby odpowiedzialnej za strefę lub host. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1183. Rekord wskaźnika wyszukiwania wstecz (PTR) PTR Rekord PTR określa nazwę domeny hosta, dla którego jest definiowany rekord PTR. Rekordy PTR umożliwiają wyszukanie nazwy hosta, jeśli jest znany jego adres IP. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1035. Rekord przekierowania (RT) RT Rekord RT określa nazwę domeny hosta, która może działać jako domena przekazująca pakiety IP dla tego hosta. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1183. 18 iseries: DNS

Rekord zasobu Nazwa skrócona Opis Rekord uruchamiania uprawnień (SOA) SOA Rekord SOA określa, że dany serwer jest autorytatywny dla tej strefy. Serwer autorytatywny jest najlepszym źródłem danych w strefie. Rekord SOA zawiera ogólne informacje o strefie i przeładowuje zasady dla serwerów zapasowych. Dla każdej strefy może istnieć tylko jeden rekord SOA. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1035. Rekord z tekstem (TXT) TXT Rekord TXT zawiera łańcuchy tekstowe o maksymalnej długości 255, które są skojarzone z nazwą domeny. Rekordy TXT mogą być wykorzystywane łącznie z rekordami osób odpowiedzialnych (RP) i mogą zawierać informacje o osobach odpowiedzialnych za strefy. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1035. Rekordy TXT są wykorzystywane przez protokół DHCP dla iseries podczas aktualizacji dynamicznych. Serwer DHCP zapisuje skojarzony rekord TXT dla każdej aktualizacji rekordu PTR i A wykonywanej przez serwer DHCP. Rekordy DHCP mają prefiks AS400DHCP:. Rekord ogólnie znanych usług (WKS) WKS Rekord WKS określa ogólnie znane usługi obsługiwane przez dany obiekt. Najczęściej rekordy WKS wskazują, czy dany adres obsługuje protokół TCP, UDP czy obydwa protokoły. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1035. Rekord odwzorowania adresu X.400 (PX) Rekord odwzorowania adresu X25 (X25) PX Rekord PX jest wskaźnikiem do informacji dotyczących odwzorowania X.400/RFC 822. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1664. X25 Rekord X25 określa adres zasobu X25. Odwzorowuje nazwę hosta na adres PSDN. Rekordy te są używane tylko w sieciach X25. Ten typ rekordu jest zdefiniowany w dokumencie RFC 1183. Poczta i rekordy MX Rekordy MX są używane przez programy rozsyłające pocztę, takie jak protokół Simple Mail Transfer Protocol (SMTP). Więcej informacji o typach rekordów dotyczących poczty, obsługiwanych przez serwer DNS w systemie iseries (TM) można znaleźć w tabeli znajdującej się w sekcji Rekordy zasobów DNS. System DNS obejmuje informacje potrzebne do wysyłania poczty elektronicznej za pomocą wymienników poczty. Jeśli w sieci używany jest system DNS, aplikacja protokołu SMTP (Simple Mail Transfer Protocol) nie DNS 19

wysyła poczty adresowanej do hosta TEST.IBM.COM poprzez nawiązanie połączenia TCP z tym hostem. Aplikacja SMTP najpierw kieruje zapytanie do serwera DNS, aby dowiedzieć się, na którym hoście działa serwer dostarczający pocztę. Dostarczanie poczty pod określony adres Serwery DNS korzystają z rekordów zasobów nazywanych rekordami wymiennika poczty (MX). Rekordy MX odwzorowują nazwę domeny lub nazwę hosta na wartość preferencji i nazwę hosta. Rekordy MX są najczęściej używane do wskazania hosta, używanego do przetwarzania poczty z innego hosta. Rekordy te są również używane do wskazania innego hosta, do którego należy próbować dostarczyć pocztę, jeśli z pierwszym hostem nie można się połączyć. Innymi słowy, rekordy te pozwalają, aby poczta adresowana do określonego hosta była dostarczana do innego hosta. Dla tej samej domeny lub nazwy hosta może istnieć wiele rekordów zasobów MX. W takiej sytuacji kolejność, w jakiej hosty te będą użyte do dostarczenia poczty, określa wartość preferencji (czyli priorytet). Najniższa wartość preferencji odpowiada rekordowi, który zostanie użyty jako pierwszy. Kiedy najbardziej preferowany host jest niedostępny, aplikacja wysyłająca pocztę próbuje skontaktować się z kolejnym, mniej preferowanym hostem MX. Wartość preferencji określa administrator domeny lub autor rekordu MX. W przypadku zapytania o nazwę, która znajduje się w domenie obsługiwanej przez serwer DNS, ale której nie przypisano rekordów MX, serwer może zwrócić pustą listę rekordów zasobów MX. W takiej sytuacji aplikacja wysyłająca pocztę może próbować nawiązać bezpośrednie połączenie z hostem docelowym. Uwaga: Nie zaleca się stosowania znaków zastępczych (na przykład: *.mycompany.com) w nazwach domeny występujących w rekordach MX. Przykład: rekord MX dla hosta W poniższym przykładzie system powinien zgodnie z preferencjami dostarczyć pocztę adresowaną do fsc5.test.ibm.com bezpośrednio do tego hosta. Jeśli host będzie niedostępny, system może dostarczyć pocztę do hosta psfred.test.ibm.com lub do mvs.test.ibm.com (jeśli psfred.test.ibm.com również nie będzie dostępny). A oto przykład odpowiednich rekordów MX: fsc5.test.ibm.com IN MX 0 fsc5.test.ibm.com IN MX 2 psfred.test.ibm.com IN MX 4 mvs.test.ibm.com Planowanie systemu DNS System DNS można skonfigurować na wiele sposobów. Jednak wcześniej należy zaplanować, jak powinien on działać w danej sieci. Przed wdrożeniem systemu DNS należy rozważyć strukturę sieci, jej wydajność i system ochrony. Podczas planowania działania systemu DNS, należy wziąć pod uwagę następujące zagadnienia: Określanie uprawnień DNS Istnieją szczególne wymagania autoryzacyjne dotyczące administratora DNS. Należy również uwzględnić wpływ autoryzacji na ochronę. W sekcji opisano te wymagania. Określanie struktury domeny na stronie 21 Konfigurując domenę po raz pierwszy, przed utworzeniem stref należy przewidzieć obciążenie i obsługę domeny. Planowanie ochrony na stronie 21 DNS udostępnia opcje ochrony ograniczające dostęp z zewnątrz do serwera. W sekcji opisano te opcje i sposób kontroli dostępu. Określanie uprawnień DNS Po skonfigurowaniu systemu DNS należy zdefiniować ochronę w celu zabezpieczenia konfiguracji. Należy określić, którzy użytkownicy są uprawnieni do dokonywania zmian w konfiguracji. 20 iseries: DNS

Minimalny wymagany poziom uprawnień powinien umożliwić administratorowi serwera iseries (TM) skonfigurowanie systemu DNS i administrowanie nim. Przydzielenie praw dostępu do wszystkich obiektów pozwoli administratorowi na realizację zadań związanych z zarządzaniem systemem DNS. Zaleca się, aby użytkownicy konfigurujący DNS mieli uprawnienia szefa ochrony z dostępem do wszystkich obiektów (*ALLOBJ). Do nadania użytkownikom odpowiednich uprawnień można użyć programu iseries Navigator. Więcej informacji na ten temat można znaleźć w sekcji Granting authority to the DNS administrator, w elektronicznej pomocy dla systemu DNS. Uwaga: Jeśli profil administratora nie ma pełnych uprawnień, należy mu przydzielić określone uprawnienia do wszystkich Obsługa plików konfiguracyjnych DNS na stronie 30. Określanie struktury domeny Ważne jest określenie sposobu podziału domeny lub poddomen na strefy, tak aby jak najlepiej obsłużyć żądania z sieci, dostęp do Internetu i sposób negocjacji z firewalami. Czynniki te mogą być złożone i muszą być brane pod uwagę w odniesieniu do konkretnej sytuacji. Szczegółowe wytyczne można znaleźć w autorytatywnych źródłach, na przykład w książce O Reilly DNS and BIND. Po skonfigurowaniu strefy DNS jako strefy dynamicznej nie można ręcznie zmieniać danych strefy podczas działania serwera. Może to bowiem spowodować kolizję z przychodzącymi aktualizacjami dynamicznymi. Jeśli trzeba dokonać ręcznych aktualizacji, należy zatrzymać serwer, dokonać zmian, a następnie restartować serwer. Jednak dynamiczne aktualizacje wysłane do zatrzymanego serwera DNS nie zostaną nigdy dokonane. Z tego powodu może być uzasadnione odrębne skonfigurowanie strefy dynamicznej i statycznej. Można to zrobić tworząc całkowicie odrębne strefy lub definiując nową poddomenę, na przykład dynamic.mycompany.com, dla klientów, którzy będą obsługiwani dynamicznie. System DNS na serwerze iseries (TM) udostępnia graficzny interfejs do konfigurowania serwerów. W niektórych przypadkach używane w tym interfejsie terminy i koncepcje różnią się od używanych w innych źródłach. Korzystając z innych źródeł informacji podczas konfigurowania systemu DNS, warto uwzględnić następujące wskazówki: v Wszystkie strefy i obiekty zdefiniowane na serwerze znajdują się w folderach Strefy wyszukiwania do przodu (Forward Lookup Zones) i Strefy wyszukiwania wstecz (Reverse Lookup Zones). Strefy wyszukiwania do przodu to strefy używane do odwzorowywania nazw domen na adresy IP według rekordów typu A. Strefy wyszukiwania wstecz to strefy używane do odwzorowywania adresów IP na nazwy domen według rekordów typu PTR. v System DNS na serwerze iseries korzysta ze stref podstawowych i stref zapasowych. W innych dokumentach dotyczących programu BIND strefy te są niekiedy nazywane, odpowiednio, strefami nadrzędnymi i strefami podrzędnymi. v Interfejs korzysta z podstref, określanych w innych źródłach jako poddomeny. Strefa potomna jest podstrefą, do której delegowano odpowiedzialność przynajmniej jednego serwera nazw. Planowanie ochrony Ochrona serwera DNS jest kwestią podstawową. Oprócz przedstawionych poniżej uwag dotyczących ochrony, ochrona serwera DNS i serwera iseries (TM) została omówiona w różnych źródłach, w tym również w sekcji IBM (R) Secureway: iseries i Internet w Centrum informacyjnym. Zagadnienia dotyczące ochrony systemu DNS opisano również w książce Inne informacje dotyczące DNS na stronie 35. Listy zgodności adresów (Address Match Lists - AML) Serwer DNS używa list AML w celu umożliwienia lub zablokowania dostępu jednostek zewnętrznych do pewnych funkcji DNS. Listy te mogą zawierać określone adresy IP, podsieci (używające przedrostka IP) lub określać użycie kluczy TSIG. Na liście AML można zdefiniować jednostki, którym zostanie przyznany dostęp i jednostki, które nie będą miały prawa dostępu. Aby wielokrotnie używać listy AML, można ją zapisać jako listę ACL (Access Control List). Dzięki temu, zawsze, gdy trzeba będzie użyć tej listy, można po prostu wywołać ACL i cała lista zostanie załadowana. DNS 21

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres